Информационная и кадровая безопасность на работе и в жизни.

[Adm]

Информационная и кадровая безопасность на работе и в жизни.

Полезная информация в шапке и теме постоянно обновляется, читайте новые статьи и рекомендации в сообщениях ниже!

У нас есть отдельный раздел форума для самых интересных новостей, полезных статей и их обсуждения по данной тематике, который находится ЗДЕСЬ.

[Adm]

Российские компании подверглись рекордной DDoS-атаке из-за событий на Украине.

Как отмечают эксперты по информационной безопасности, конфликт между Россией и Украиной этой весной привел к крупнейшим за историю рунета DDoS-атакам. Их мощность по сравнению с предыдущим максимумом выросла вдвое.

Столь значительное увеличение мощности DDoS-атак стало следствием распространения среди киберзлоумышленников нового метода NTP Amplification. Атаки этого типа имеют коэффициент усиления до 556 раз, что позволяет хакерам быстро достичь высокой мощности при минимальных усилиях. Для сравнения, нашумевшие год назад атаки, в том числе на ряд известных российских СМИ, типа DNS Amplification имеют коэффициент усиления в 10 раз меньше — до 54 раз. Помимо этого, любой Amplification дает злоумышленникам возможность скрыть свой настоящий адрес, что затрудняет их идентификацию.

Как отмечает представитель «Лаборатории Касперского» Евгений Виговский, можно не сомневаться, что злоумышленники при помощи DDoS-атак протестовали против действий российского правительства, так как ответственность за большинство атак взяло на себя хакерское движение Anonymous.

Гендиректор Qrator Labs Александр Лямин уверен, что большинство атак были связаны с последними событиями на Украине, а их целью был публичный эффект. Это косвенно подтверждает и тот факт, что целью хакеров были крупнейшие банковские структуры России, в том числе «Альфа-Банк» и ВТБ24, сайты администрации президента, федеральных министерств, одной из крупнейших российских авиакомпаний «Аэрофлот», а также сайты средств массовой информации: Lifenews, «Первого канала», RussiaToday и «Комсомольской правды». В пиковые моменты мощность атак доходила до 120 ГБ/с.

Во время столь массивных DDoS-атак у ряда пострадавших банков наблюдались проблемы с доступностью сайтов, систем дистанционного банковского обслуживания и даже банкоматов.

Российские компании подверглись рекордной DDoS-атаке из-за событий на Украине. Это интересно? Поделитесь с друзьями! —→

[Adm]

Генпрокурор ФРГ начал расследование по делу о прослушке Меркель.

МОСКВА, 4 июн — РИА Новости. Генеральный прокурор Германии Харальд Ранге (Harald Range) начал предварительное расследование по делу о предполагаемом прослушивании телефона канцлера Ангелы Меркель Агентством национальной безопасности США, пишет журнал Spiegel.

Об этом Ранге заявил в среду на заседании комитета бундестага по правовым вопросам. «Я уведомил комитет парламента по правовым вопросам, что я начал предварительное расследование в связи с прослушкой мобильного телефона канцлера», — цитирует агентство Франс Пресс генпрокурора.

Власти Германии проверяли информацию о том, что АНБ могло следить за Меркель на протяжении нескольких месяцев, с октября прошлого года, когда об этом стало известно. Согласно документам, которые ранее попали к журналистам от экс-сотрудника ЦРУ Эдварда Сноудена, спецслужба на протяжении многих лет прослушивала один из ее мобильных телефонов. Официально Вашингтон эту информацию так и не подтвердил, но и не опроверг. Обама заявил только, что впредь канцлер ФРГ может не опасаться слежки со стороны американской разведки.

Как отмечает Spiegel, на первых этапах расследования, помимо прочего, будут допрошены свидетели. При этом Ранге не будет вести расследование о массовой слежке в отношении граждан ФРГ, о которой также говорилось в документах Сноудена. Но возможность такого расследования не исключена, если появятся новые данные в рамках уже начатого уголовного процесса, уточняет издание.

Расследование может негативно сказаться на двусторонних отношениях Германии и США, отмечает Spiegel.

Генпрокурор ФРГ начал расследование по делу о прослушке Меркель. Это интересно? Поделитесь с друзьями! —→

[Adm]

ФСБ хочет знать больше о пользователях Интернета.

Роскомнадзор совместно с ФСБ хочет расширить свои права и иметь доступ к большему количеству данных о пользователях Интернета.

Ведомства готовят дополнения к закону о «блогерах-трехтысячниках», который входит в пакет «антитеррористических законопроектов» и обязывает блогеров регистрироваться в реестре Роскомнадзора и соблюдать ограничения, наложенные в настоящий момент на СМИ.

Подробней можно прочитать ЗДЕСЬ.

[Adm]

ЦБ наказал банкам следить за сотрудниками.

МОСКВА, 6 июня. ПРАЙМ. ЦБ рекомендовал банкам для предотвращения утечки пользовательских данных организовать слежку за своими сотрудниками, пишет в пятницу РБК, со ссылкой на новый стандарт информационной безопасности, выпущенный регулятором на смену старого, который вступил в силу еще в 2010 году.

С 1 июня банки должны контролировать переписку своих сотрудников и их перемещение по интернет-сайтам.

Как рассказали изданию эксперты, нововведение предполагает использование систем DLP (data loss prevention — система для предотвращения утечек). Это программное обеспечение устанавливается на компьютеры сотрудников и корпоративные серверы и позволяет анализировать поведение пользователей — перемещения по интернету, обмен информацией, переписку.

ЦБ наказал банкам следить за сотрудниками. Это интересно? Поделитесь с друзьями! —→

[Adm]

Персональное досье за «железным занавесом».

Новый закон обязывает все компании, обрабатывающие персональные данные россиян, хранить их на отечественных серверах. А по решению суда они могут быть заблокированы. Эксперты убеждены, что такие нововведения могут привести к хаосу и вряд ли защитят личные тайны граждан.

Нормы, по мнению их авторов (депутатов Госдумы Андрея Лугового, Вадима Деньгина и Александра Ющенко), являются реализацией решения Европейского суда (так называемого «суда справедливости» – расположенной в Люксембурге высшей инстанции ЕС). Однако на самом деле из этого решения, не имеющего для России правового значения, сделаны ровно противоположные выводы.

В списках не значится

Как уже рассказывало РАПСИ, 13 мая Европейский суд постановил, что поисковые операторы должны по запросу удалять с серверов устаревшие, не соответствующие действительности или утратившие актуальность личные данные. Причем исключительно по мотивированной просьбе самого гражданина. Ни о какой блокировке ресурсов речи не идет.

Принятый же Госдумой и одобренный Советом Федерации закон предусматривает как раз блокировку сайтов, на которых незаконно размещены персональные данные граждан. Сама процедура в большей части идентична уже отработанной практике ограничения доступа к ресурсам, распространяющим экстремистские материалы, детскую порнографию, пропагандирующим наркотики или содержащим иные запрещенные материалы. Кроме одного «но» – в «черный список» сайт или отдельная страница с личными данными гражданина могут быть внесены только в случае невыполнения владельцем ресурса вступившего в законную силу судебного решения об удалении спорных данных. Тогда как во всех иных случаях сервера блокируются во внесудебном порядке.

Мнения экспертов о необходимости и эффективности такой процедуры расходятся. Российская ассоциация электронных коммуникаций (РАЭК) уже выступила с заявлением, что закон фактически перекладывает на Роскомнадзор полномочия службы судебных приставов по исполнению решений. Хотя на самом деле такие полномочия у этого надзорного органа есть и сейчас – помимо порнографии он обязан включать в реестр запрещенной информации сайты с информацией, признанной противоправной служителями Фемиды. Более того, 8 июля Роскомнадзор торжественно сообщил о блокировке первого сайта с персональными данными на основании решения Ангарского городского суда Иркутской области.

Председатель совета Фонда свободы информации Иван Павлов не отрицает, что блокировка страниц с персональными данными – единственный возможный способ исполнения судебного решения, а сама предложенная процедура – цивилизованный способ защиты прав граждан. «Но общая тенденция очень пугающая. Сегодня по решению суда, завтра скажут, что суды перегружены, и разрешат блокировать сайты по решению прокуратуры или иных органов. Также не факт, что за нарушение будет блокироваться только отдельная страница с незаконной информацией, а не весь ресурс, в том числе Facebook или Twitter», – предполагает правозащитник.

Жизнь в сети

В наиболее опасной ситуации оказываются социальные сети, справочные системы и иные подобные ресурсы. По действующему российскому законодательству сведения в такие «общедоступные источники персональных данных» могут включаться только с согласия самих граждан (субъектов персональных данных), которые в любой момент вправе потребовать удаления публично размещенной по их же инициативе информации.

В то же время никто не запрещает сторонним лицам архивировать «общедоступные сведения», после чего хранить и распространять их на абсолютно законном основании – требования об удалении по вольному желанию гражданина (субъекта) на них не распространяются. То есть тот же Facebook или «ВКонтакте» можно будет наказывать за отказ удалить данные россиян (а в случае уклонения от таких действий даже блокировать), тогда как любого скопировавшего открытый массив – нет.

Напомним, что еще в мае заместитель руководителя Роскомнадзора Максим Ксензов сообщил о возможности в течение нескольких минут заблокировать Twitter или Facebook. Но такую идею в жесткой форме в тот же день осудил глава правительства России. «Чиновникам надо иногда включать мозги и не давать интервью, объявляющих о закрытии соцсетей», – заявил Дмитрий Медведев.

Впрочем, иски об удалении персональных данных с интернет-ресурсов пока редкость, а все известные споры в конечном итоге были решены не пользу истцов. Например, петербуржец Эдуард Самашка потребовал от ИА «Судебные решения РФ» удалить его уникальную фамилию из перепечатанных с официальных сайтов судов решений, свидетельствующих о противоправных действиях гражданина (в том числе участии в мошеннических схемах отъема жилья). Роскомнадзор поддержал требования жалобщика, тогда как служители Фемиды подтвердили право журналистов свободно распространять открытую информацию.

С французского на нижегородский

Другая норма того же документа обязывает все осуществляющие обработку персональных данных россиян организации (в том числе иностранные) хранить эти сведения в расположенных на территории России базах данных. Причем это требование касается не только открытых ресурсов, но и информации, хранящейся даже на локальных компьютерах или на бумажном носителе.

По мнению экспертов, такая новация де-факто блокирует трансграничную передачу данных и предоставление глобальных услуг. «Например, будет невозможно забронировать билеты на сайте зарубежной авиакомпании, так как сбор и хранение будут осуществляться на территории той страны, в которой работает авиакомпания. Или воспользоваться системами бронирования отелей, так как персональные данные будут собираться и храниться на серверах этого отеля в стране его нахождения. В конечном итоге, предложенное регулирование может привести к обратному эффекту, чем изначально запланированное, и отпугнуть компании, которые хотят вести бизнес и инвестировать в Россию», – полагают в РАЭК, напоминая, что в решении Европейского суда нет ни слова о локализации данных.

Представителей туриндустрии такие перспективы не пугают. «Сейчас наши граждане бронируют отели через западные сайты, покупают товары с помощью кредитных карт – эти системы контролируются западными компаниями. Фактически западные спецслужбы могут иметь полный контроль над предпочтениями россиян. Считаю, что если для этих компаний русский рынок важен, то будет правильно, если они переведут свои сервера в Россию», – убежден Михаил Ушаков, исполнительный директор НП «Национальная ассоциация информационно-туристских организаций» и эксперт Российского союза туриндустрии по информационным технологиям.

Но есть и иные мнения. Так, глава компании WebMaster SPb Андрей Рябых обращает внимание, что закон как раз-таки не запрещает хранить информацию о гражданах за границей, а лишь обязывает создавать такие базы данных в России. «Думаю, что в результате появятся так называемые “сайты-прокладки” – данные будут храниться в России, а обрабатываться на Западе. Формально такая система закон не нарушает», – полагает Рябых.

Правозащитники убеждены, что закон преследует обратную цель – не защиту персональных данных, а их сбор в интересах государственных органов. «Теперь российские службы смогут получать сведения о моих передвижениях, проживании и иных действиях за границей, – говорит Юрий Вдовин, заместитель председателя общества “Гражданский контроль”. – Другой вопрос – как они заставят западные компании передавать им данные? Думаю, что авиакомпании и крупные международные отельные сети вынуждены будут подчиниться российскому закону, тогда как небольшие гостиницы и иные организации вряд ли захотят его выполнять».

Правда, документ, прошедший все чтения всего за месяц, вступит в силу только с 2016 года. Поэтому многие эксперты сегодня убеждены, что инициатива будет к тому моменту изрядно исправлена и дополнена.

Павел Нетупский, Санкт-Петербург (специально для РАПСИ)

Персональное досье за «железным занавесом». Это интересно? Поделитесь с друзьями! —→

[Adm]

Американцы не разрешат проносить на борт самолетов разряженные гаджеты.

Управление транспортной безопасности Соединенных Штатов вводит дополнительные меры безопасности для рейсов, следующих из ряда аэропортов в США. В частности, пассажирам будет запрещено подниматься на борт с полностью разряженными гаджетами.

Такое, на первый взгляд, странное решение объясняется очень просто. Текущее развитие военных технологий позволяет террористам использовать мобильные гаджеты в качестве бомб. Под корпусом «разряженного» смартфона вполне может скрываться миниатюрное взрывное устройство.

В связи с этим наземные службы получат право требовать у пассажиров включить смартфон, планшет или даже ноутбук перед посадкой в самолет, чтобы убедиться в том, что перед ними действительно электронное устройство, а не маленькая бомба.

Особо в управлении транспортной безопасности Соединенных Штатов предложили обращать внимание служб безопасности на популярные смартфоны Apple iPhone и Samsung GALAXY. Дополнительные проверки безопасности будут организованы при посадке пассажиров на беспересадочные рейсы в США из Европы, стран Ближнего Востока и Африки.

Забавно, что совсем недавно компания Samsung выпустила рекламный ролик, в котором высмеиваются владельцы iPhone с вечно разряженными аккумуляторами. Действие в ролике происходит именно в аэропорту.

Американцы не разрешат проносить на борт самолетов разряженные гаджеты. Это интересно? Поделитесь с друзьями! —→

[Adm]

На Android нашли любопытную уязвимость.

Эксперты по компьютерной безопасности сообщили об очередной уязвимости мобильных устройств под управлением Android.

Оказалось, что, используя широко распространенное программное обеспечение, восстановить данные на смартфоне, даже прошедшем через сброс настроек на заводские, не составляет никакого труда.

Подробней можно прочитать ЗДЕСЬ.

[Adm]

ЦБ предостерегает от передачи данных о банковских картах третьим лицам.

МОСКВА, 14 июл — РИА Новости. Банк России зафиксировал участившиеся случаи несанкционированных операций с использованием платежных карт без согласия их владельцев; рекомендует гражданам принимать меры безопасности и напоминает об ответственности за передачу данных третьим лицам.

«В частности, неизвестные лица размещают объявления о приобретении платежных карт или обращаются непосредственно к держателям карт с предложением купить у них эти карты. Затем такие карты используются для осуществления несанкционированных операций», — говорится в сообщении регулятора. ЦБ напоминает клиентам банков, что держатель карты, не сообщивший банку о приостановке или прекращении ее использования, несет все обязательства, вытекающие из ее использования третьими лицами.

Центробанк напоминает, что передача третьим лицам платежных карт и сведений о ПИН-кодах является нарушением, из-за которого банки отказываются возмещать держателям карт денежные средства по несанкционированным операциям.

«Кроме того, платежная карта, переданная третьему лицу, может быть использована при совершении противоправных действий. В результате держатель такой карты несет риск быть привлеченным к ответственности как соучастник», — предупреждает ЦБ.

Банк России не рекомендует сообщать ПИН-код ни родственникам, ни знакомым, ни сотрудникам банков, а также предостерегает от передачи карт третьим лицам. ЦБ напоминает, что использовать платежную карту имеет право только то лицо, чьи имя и фамилия указаны на карте.

«При получении просьбы, в том числе со стороны сотрудника кредитной организации, сообщить персональные данные или информацию о платежной карте (в том числе ПИН-код), не сообщать их. Сообщить о данном факте кредитной организации-эмитенту платежной карты и Банку России», — рекомендует регулятор.

ЦБ предостерегает от передачи данных о банковских картах третьим лицам. Это интересно? Поделитесь с друзьями! —→

[Adm]

Microsoft обеззаразила 4,7 млн компьютеров.

Благодаря захвату 23 доменов No-IP подразделение по борьбе с цифровой киберпреступностью Microsoft обеззаразило 4,7 миллиона компьютеров, хотя сами владельцы компьютеров об этом могут и не знать.

Главный юрист Microsoft Ричард Боскович (Richard Domingues Boscovich) прокомментировал результаты операции, которая вызвала некоторое возмущение в интернет-сообществе. Изъять через суд чужие домены, перенаправить трафик на свои серверы, чтобы изучить его и отфильтровать зараженные ПК – не слишком ли много берет на себя коммерческая компания Microsoft, играя роль интернет-полицейского?

По информации Microsoft, поддомены No-IP использовались крупными ботнетами Jenxcus и Bladabindi, а также еще в 243 семействами вредоносных программ для коммуникации с зараженными Windows-компьютерами и перенаправления трафика на командные серверы. Несмотря на многочисленные предупреждения, владельцы No-IP якобы не предприняли необходимых мер для прекращения злоупотреблений своим сервисом, поэтому пришлось обратиться в суд.

Юрист Microsoft сказал, что все сделано законно, по судебному решению. Операция прошла успешно, а вскоре домены были возвращены законному владельцу. Это была самая успешная из 10 операций, проведенных подразделением по борьбе с цифровой киберпреступностью Microsoft до настоящего времени, если судить по количеству «очищенных» компьютеров.

No-IP с 18 млн пользователей – один из последних бесплатных провайдеров динамического DNS, оставшихся на рынке, так что злоупотребления их сервисом случаются часто.

После захвата доменов компания Vitalwerks Internet Solutions (владелец No-IP) опубликовала официальный протест, поскольку из-за таких действий Microsoft около 1,8 млн клиентов компании на несколько дней потеряли доступ примерно к 5 млн хостов. Да и вообще захват собственности легитимной компании для таких целей выглядит, по меньшей мере, странно. Можно было найти способы нормального сотрудничества, считают в компании.

В No-IP работает специальный отдел, чтобы оперативно блокировать поддомены, которые используются для ботнетов. Применяются автоматические фильтры для обнаружения вредоносного трафика. Компания заявила, что из 22 000 «вредоносных» хостов, упомянутых Microsoft, только малая часть проявляла активность в последнее время.

Источник: Хakep.ru.

Microsoft обеззаразила 4,7 млн компьютеров. Это интересно? Поделитесь с друзьями! —→

[Adm]

Русские хакеры взломали крупный американский hi-tech ресурс.

По сообщению американской телекомпании CBS, принадлежащий ей популярный сайт по хай-тек тематике CNET был взломан российскими хакерами. Злоумышленники заполучили всю информацию о зарегистрированных пользователях ресурса.

Телекомпания сообщает, что русскими хакерами была похищена база данных сайта, в которой содержатся в том числе персональные данные всех зарегистрированных пользователей CNET (их адреса электронной почты и т. д.) — а это более миллиона человек.

При этом русские хакеры (за взломом, как сообщается, стоит группировка под названием «w0rm»/«червь») оказались вполне «добрыми» — они сами признались во взломе и предложили выкупить похищенные ими данные за относительно небольшую сумму — единицу виртуальной валюты биткоин или за 622 доллара.

Представитель w0rm сообщил, что их целью было не совершение преступления ради выкупа, а желание прославиться в интернете, а также усилить кибербезопасность глобальной сети. В переписке с администрацией сайта один из злоумышленников заявил, что они хотят «сделать так, чтобы интернет стал лучше и безопаснее». Именно поэтому представители w0rm предложили американскому сайту сотрудничество в плане усиления системы безопасности ресурса.

Русские хакеры взломали крупный американский hi-tech ресурс. Это интересно? Поделитесь с друзьями! —→